TwitterのURL短縮サービスでハッキング、200万のURLが改ざん
マイクロブログサイトのTwitterで提供されているURL短縮サービスがハッキングされ、約200万のURLが別のサイトにリダイレクトされる事件が起きた。セキュリティ各社が6月16日、一斉に伝えた。
ハッキングされたのはTwitterで4番目に使われているというURL短縮サービスの「Cligs」。6月14日時点で約200万件のリンクが別のサイトにリダイレクトされていたことが分かった。
CligsのWebサイトに掲載された説明によると、Cligs編集機能の脆弱性を何者かが悪用し、短縮されたURLのリンク先を改ざんしたとみられる。同社は一時的に編集機能を無効とし、乗っ取られたURLを元に戻した。ただし、同社は5月初旬以降、URLのバックアップを取っていなかったため、それ以降に作成されたURLはすべてなくなってしまった可能性があるという。
ロシアのKaspersky Labによれば、リダイレクト先のサイトはTwitterのハッシュタグについて触れたブログで、悪質なコードなどは仕掛けられていなかった。攻撃者はサイトの脆弱性を示したかっただけで、ユーザーをマルウェアに感染させる意図はなかったようだとしている。
しかし攻撃者がその気になれば、URL短縮サービスを乗っ取ってマルウェア感染サイトに誘導するのも容易だとSANS Internet Storm Centerは指摘。実際、TinyURLなどの短縮サービスは普及に伴い悪用されるケースも増えており、リンクをクリックする前に展開してくれるプラグインの利用を検討した方がいいと、英Sophosは促している。
関連記事
FacebookやMySpaceを「無断借用」するURLが増加
FacebookやMySpaceの名称が、無関係なサイトのURLの一部として使われるケースが増えているという。URLを隠すフィッシング詐欺に注意、短縮サービスの悪用で
長いURLを短縮できるサービスの「TinyURL」が、不正サイトのURLを隠す目的に利用されているという。URLをコピペしたら悪質サイトに――乗っ取り被害が続出
クリップボード機能の乗っ取り被害の報告が相次いでいる。Windows、Macユーザーの両方が被害に遭っているもようだ。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.
Special
PRITmediaはアイティメディア株式会社の登録商標です。